SF/T 0033-2019 公证数据中心建设和管理规范

  • SF/T 0033-2019  公证数据中心建设和管理规范为pdf格式
  • 文件大小:455.3K
  • 下载速度:极速
  • 文件评级
  • 更新时间:2020-06-08
  • 发 布 人: 13648167612
  • 原始文件下载:
  • 立即下载

  • 文档部分内容预览:
  • 图1公证数据中心总体架构

    公证数据中心总体架构主要包括:资源池、云计算服务管理平台和公证数据中心安全体系。 a)资源池又包括:计算机资源池、存储资源池和网络资源池; b 云计算服务管理平台对资源池和应用进行管理调度及告警监控; c)公证数据中心安全体系保障公证数据中心的安全可靠运行。

    5.2计算机资源池设计要求

    5.2.1计算机资源池架构

    计算机资源池的架构应由机架式服务器、刀片服务器构成工程技术,条件具备宜增加区块链资源,其中: a)力片服务器应通过服务器虚拟化部署一般业务系统和web应用系统: b)机架式服务器应用于部署管理平台和高负载数据库服务器等; c)区块链资源用于部署区块链技术,应实现对数据的加密计算。

    5. 2. 2 配置与选型

    SF/T 00332019

    计算机资源池的配置与选型要求如下: a)根据实际业务发展情况应按需扩容、滚动建设; b)一台物理服务器应可虚拟多台虚拟机,应根据应用服务所需资源而定; 刀片服务器虚拟化后的虚拟机可部署一般应用服务器,高性能服务器虚拟化后的虚拟机可部署 重载数据库服务器: 每台物理服务器要求配置应不少于3个千兆以太网电口,分别用于虚拟化平台管理口、应用系 统对外提供服务、连接NAS(网络附属存储)存储设备; e 如需连接SAN存储设备还应部署HBA(主机总线适配器)卡和光纤交换机

    5. 2. 3服务器选型

    服务器选型要求如下: a)标准机架式服务器可选择典型的是2U或4U的型号,包含2到4个CPU插座,2到8个PC 或PCI一X插槽,4到6个硬盘托架; b 刀片式服务器应考虑刀片式架构中的每个刀片所包含CPU数及最大内存。应考虑对于每个 机服务器用于支持一定数量的客户机所需的网络和存储I/0,保证力片上运行的每个宿主 务器和刀片底盘自身能够提供支持

    5.3存储资源池设计要求

    5.3.1存储资源池配置应采用存储虚拟化技术,搭建支撑云计算中心高效运行的存储保障环境 5.3.2存储虚拟化环境应不少于2组存储虚拟化硬件设备,每组配置2个以上控制器,72G以上高速 缓存,并提供相应的存储资源虚拟化管理软件。 5.3.3高速SAN存储网应不少于2台高速SAN光纤交换机

    5.4网络资源池设计要求

    网络资源池组网物理拓扑图如图2所示

    SF/T 00332019

    图2网络资源池组网物理拓扑图

    网络资源池设计结构要求如下: 应满足双网双平面结构,网络接口、网络链路以及关键网络设备均配置余部件; b 网络接口上每台物理服务器至少配置2张网卡,分别用于业务服务、虚拟化平台宿主机管理、 IP存储系统互联; C 业务服务网络根据业务属性不同,通过VPN划分为公用网络区、互联网接入区、专用网络区; d 虚拟化计算资源可在不同的网络区域中自由迁移

    网络资源池结构安全要求如下: 应设置防火墙、隔离网闸、运维审计、数据库审计系统等安全设备; b 防火墙应用于实现同一网络区域中不同业务系统的之间的安全隔离; C 隔离网闸应用于在VPN隔离的不同网络区域之间进行安全数据交换,同时用于电子公证之间的 数据安全交换

    5.4. 4 存储安全

    资源池存储安全要求如

    SF/T 00332019

    a)宜采用区块链资源实现区块链计算资源部署,该区块链资源接入在核心交换机设备上,与其他 服务器资源形成局域网 b)应在高性能服务器部署软件区块链技术解决方案

    网络虚拟化要求如下: a)应在云计算平台的汇聚层部署汇聚交换机、防火墙、IPS、负载均衡器等设备,实现网络服务 虚拟化; b) 虚拟化技术模拟汇聚层交换机,每个模拟出的交换机应拥有它自身的软件进程、专用硬件资源 (接口)和独立的管理环境,不同物理端口分配给不同的虚拟交换机,且虚拟交换机之间不应 共享端口; 采用网络虚拟化技术,对不同设备进行虚拟化分区,应包括安全审计虚拟化、负载均衡虚拟化、 IPS/IDS虚拟化、防火墙虚拟化四个方面

    5.4.6IP地址及DNS

    IP地址及DNS要求如下: a)IP地址规划应遵循国信办和国家外网工程办有关规定和指导意见; b)公证数据中心的网络带宽应不低于100MB

    5.5云计算服务管理平台要求

    云计算服务管理平台应包括以下内容: a)IT基础架构中的物理资源和虚拟资源的管理; 宿主机的管理接口(统一设置宿主机上某一个单独物理网卡用于云计算管理平台对虚拟机的管 理通讯)应进行统一V江LAN规划,实现不同分区的虚拟机在同一个资源组中迁移,实现云计算 平台对3个区的统一管理。

    5.6公证数据中心安全系统要求

    公证数据中心安全系统要求包括laaS、PaaS、SaaS、云安全服务、安全防护等级五个内容,具 见5. 6. 2、5. 6. 3、5. 6. 4、5. 6. 5和5. 6. 6。

    5. 6. 2laas 要求

    Iaas要求如下: 机房、电源、监控等场地设施和周围环境及消防安全,应严格按照国家相关标准,并满足24 小时不间断运行的要求进行设计建设。其具体安全措施应遵循GB/T9361和GB/T2887的相关 规定; b 通信线路应采用铺设或租用专线方式建设; C) 通信线路应远离强电磁场辐射源,埋于地下或采用金属套管; d 通信线路应定期测试信号强度,确定是否有非法装置接入线路,在线路附近有新的网络架设、 电磁企业开工时,可请专业机构负责检测; e 通信线路应定期检查接线盒及其他易被人接近的线路部位,防止非法干扰; f 骨干线路应在骨干线路或重要的节点设置几余线路和环形路由:

    SF/T 00332019

    g)骨干线路应设置几余电源配置; h)骨干线路应在重要部门重要业务系统所属的相关线路设置元余或环形路由; i)主机安全应采取的措施和技术手段包括身份认证、主机安全审计、主机入侵防御、主机防病毒 系统; 网络安全应来取的安全措施和技术包括防火墙、IPS、网络安全审计系统、防病毒、防病毒网 关、强身份认证; k 在互联网环境下应将SAN存储分隔为两个数据区,分别作为中心应用数据区和社会公众数据 区,进行存储区域划分实现数据隔离。

    5.6.3PaaS要求

    PaaS要求如下: a)公证数据中心应配备运维安全审计系统,通过防火墙、IPS、漏洞管理、网页防篡改等安全技 术手段保障由外部发起的攻击,实现对应用运行安全的全方位防护; 应安装PKI(公钥基础设施)应用服务器,结合CA(认证机构)中心,实现对接口的强用户认 证,接口数据加解密和有效接口的访问控制。

    5. 6.4 SaaS 要求

    SaaS要求如下: a)应保障应用安全,对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃,通 过其他安全工具或策略来消除隐惠: b 应保障数据安全,经过网络传输和交换的数据不应发生增加、修改、丢失和泄露等 应通过加密和密钥管理,保障安全; d 应建立身份识别和访问管理,确保用户身份及其所归属的某项定义组来限制用户对某些信息项 的访问; e) 应建立安全事件管理,对发生的安全事件进行分析,提高安全保障; f 应保障业务连续性。

    5.6.5云安全服务要求

    云安全服务要求如下: a)云平台应进行上线检测、监控服务以及2个月一次的远程巡检和现场巡检服务; 应定期远程巡检、定期现场巡检; 应有远程安全值守服务; d)应有安全加固服务。

    5.6.6安全防护等级要求

    公证数据中心机房建设基本要求如下: a)应按照数据中心机房B级以上标准进行建

    SF/T 00332019

    b)应配置网络KVM,实现“无人机房”; c)网关和集成服务器应在专门的网管控制中进行设备管理、软件调试工作,人机分离,应提供统 一、集中的访问权限管理,管理员按照用户权限分配专门的账号给网管人员和集成服务商技术 人员。

    布线系统要求如下: a 机房内通信电缆及电力电缆应在走线架上布放,布线距离应尽量短而整齐; b)通信电缆与电力电缆应分别按不同路由敷设,如相互间距离较近,则应保持不低于100mm; c)应预留1个机架作为配线架专用机架,每个设备机架配置一套不少于24口配线架,

    机房环境要求如下: a)应遵循GB50174与GB50462相关要求; b 所有设备应放在计算机房环境里,室内清洁无尘; 温度应介于(15~30)℃,每小时变化<10℃; d 湿度应介于(40~70)%,不结露、霜; 机房荷载要求:主机房楼面等效均布活荷载标准值应为6kN/m:控制室楼面等效均布活荷载 标准值应为4.5kN/m; 机房照明方式应采用一般照明,水平面(距地0.8m)照度应为(200~450)LX,直立面(距 地1.4m)照度应为(30~50)LX; 名 现有机房地板应具有足够的强度,应是难燃材料或非燃材料,同时耐油、耐腐蚀、柔光、不起 尘;新建机房不应采用活动地板; h 建筑物的接地应采用联合接地系统,接地电阻值应小于1Q

    消防安全要求如下: a 机房的电源线与信号线的孔洞、管道应分开设置,机房内的走线除设备的特殊要求外,一律应 采用不封闭走线架;交流线应采用绝燃材料加护套,并用金属套管; b) 机房建筑材料应采用非易燃或阻燃材料; 主机房应同时设计安装消防报警系统: d 施工中应把电力线与信号线分架分孔洞敷设。确实需同槽同孔敷设或交叉的,应采取可靠的隔 离措施; e) 机房设备的排水管不应与电源线同槽敷设或交叉穿越。确实需同槽或交叉的,应采取可靠的防 渗漏防潮措施: 机房空调隔热层应采用不燃或阻燃材料: 施工完毕应将竖井和孔洞用不燃或阻燃材料封堵

    设备供电要求如下: a)遵循GB50174与GB50462相关要求:

    SF/T 00332019

    b)交流:电压应是220V单相,变化小于±15%; c)频率:50Hz变化应小于±5%; d)电源波形:正弦波畸变应不大于土3%; 直流:电压应是48V±15%; 交流电力系统应配有交流调整装置或不间断的电源来滤除脉冲干扰; 名人 供电应尽可能地应用两路市电和油机系统,平时市电输入经转换开关任一路供电;当两路均断 时,由油机供电。

    6.3.4环境保护与设备节能

    环境保护与设备节能要求如下: a)应遵循GB50189、GB/T2589的相关要求; b)公证数据中心对周围环境应无电磁辐射、无粉尘、无噪声、无污染物产生

    UPS应遵循GB51194的相关要求进行设计配置。

    7.1总体安全方针与安全策略

    总体安全方针与安全策略应具备以下特性: a)安全策略紧紧围绕行业的发展战略,符合实际的信息安全需求,保障与促进信息化建设的顺利 进行,避免过于理想化或不可操作性; 明确阐述所有信息化建设项目在规划设计、开发建设、运行维护等各阶段应遵循的总体原则和 要求; 安全策略应经过安全决策机构批准,具备指导和规范信息安全工作的效力; 1 安全策略中应规定其自身的时效性,当信息系统运行环境发生重大变化时,及时对总体安全策 略进行必要的调整,并将调整后的策略提交安全决策机构批准。

    人员安全管理应包括以下内容:

    SF/T 00332019

    .5.1系统运维管理的内容

    系统运维管理包括环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理 处置与应急响应、灾难备份、安全监测和其他要求在内的八项内容。具体要求见7.5.2、7.5.3、7. 5. 5、7. 5. 6、7. 5. 7、7. 5. 8.

    7.5.2环境和资产安全管理要求

    7.5.3设备和介质安全管理要求

    7.5.4且常运行维护要求

    日常运行维护要求如下: a)应明确系统日常运行维护的责任部门或责任人安全生产标准规范范本,对运行管理中的日常操作、账号管理、安全配 置、日志管理、补丁升级、口令更新等过程进行控制和管理; 应制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制 度;

    SF/T 00332019

    7.5.5集中安全管理要求

    7. 5. 6 事件处置与应急响应要求

    7.5.7灾难备份要求

    蝶阀标准7. 5. 8 安全监测要求

    其他要求如下: a)应对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管理; b)应按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级管理

    SF/T 00332019

    ....
  • 数据标准
  • 相关专题:

相关下载

常用软件